02IDSIPS的部署与运维85课件.pptxVIP

02IDS/IPS的部署与运维信息安全技术应用ApplicationofInformationSecurityTechnology

IDS/IPS的部署与运维数据存储安全技术02为何数据存储需要特别防护？网络安全问题：未授权访问、数据窃取、勒索软件、内部威胁、配置错误、拒绝服务攻击(DoS)、漏洞利用(存储系统/协议/管理接口)。存储系统是攻击者的终极目标（数据价值高），且常被视为“安全后方”而疏于防范。威胁类型典型场景后果存储协议漏洞iSCSI/NFS/SMB协议漏洞利用（如永恒之蓝）未授权访问/数据泄露管理接口暴露存储阵列Web控制台弱口令爆破全盘数据被清空或加密内部人员滥用数据库管理员违规导出客户数据内部泄密难以追踪配置错误AWSS3存储桶公开访问权限设置错误数亿用户数据泄露（如Verizon事件）供应链攻击第三方备份软件后门植入备份数据被窃取案例：2023年某云服务商因HDFS配置错误，导致100TB医疗影像数据公开暴露。

IDS/IPS的部署与运维数据存储安全技术02什么是IDS？-网络世界的“监控摄像头”定义：?监控网络流量或系统活动，寻找已知攻击模式（签名）或异常行为（异常检测）。核心功能：?检测(Detect)?和?告警(Alert)。部署位置：?网络型(NIDS-监控存储网络流量)，主机型(HIDS-监控存储服务器/阵列本身)。关键特性：?被动监控，不影响正常流量（只报警，不阻断）。什么是IPS？-网络世界的“智能门禁”定义：在IDS检测能力的基础上，增加了主动阻断(Block)恶意流量的功能。核心功能：检测(Detect)、告警(Alert)、防御/阻断(Prevent/Block)。部署位置：同IDS（NIPS,HIPS），通常串行接入网络路径。关键特性：主动干预，可实时阻止攻击。但存在误报导致合法流量中断的风险（需精细调优）

IDS/IPS的部署与运维数据存储安全技术02IDS与IPS：职责分明特性IDSIPS主要目的监控告警监控告警阻断部署模式旁路(监听)串行(Inline)对流量影响无(被动)有(主动干预关键风险漏报(没发现)误报(阻断合法流量)响应速度依赖管理员实时自动典型场景审计、取证、威胁感知实时防护、合规要求

IDS/IPS的部署与运维数据存储安全技术02保护核心资产：直接防护存放最终价值（数据）的系统。检测存储协议攻击：识别针对iSCSI,NFS,SMB/CIFS,FC/FCoE等存储协议的特定攻击和扫描。发现异常访问模式：监控大量数据读取/删除（可能的数据窃取/勒索）、异常时间访问、来源IP突变等。防范勒索软件：检测加密活动特征（大量文件快速覆写）并告警/阻断。监控管理接口：保护存储阵列/系统的WebGUI、CLI、API接口免受暴力破解、未授权访问。内部威胁检测：发现授权用户的可疑或恶意数据操作行为。聚焦存储场景：IDS/IPS的特殊价值保护核心资产：直接防护存放最终价值（数据）的系统。检测存储协议攻击：识别针对iSCSI,NFS,SMB/CIFS,FC/FCoE等存储协议的特定攻击和扫描。发现异常访问模式：监控大量数据读取/删除（可能的数据窃取/勒索）、异常时间访问、来源IP突变等。防范勒索软件：检测加密活动特征（大量文件快速覆写）并告警/阻断。监控管理接口：保护存储阵列/系统的WebGUI、CLI、API接口免受暴力破解、未授权访问。内部威胁检测：发现授权用户的可疑或恶意数据操作行为。

IDS/IPS的部署与运维数据存储安全技术02网络可见性：确保监控覆盖所有关键存储网络路径（东西向流量！）。使用网络分路器(Tap)或端口镜像(SPAN)提供流量给NIDS/NIPS。签名/规则管理：及时更新攻击特征库（签名）。针对存储环境定制规则（关注存储协议、管理端口、已知存储系统漏洞）。精细调优以减少误报(尤其IPS！)：白名单、调整敏感度。误报在存储环境中代价高昂（业务中断）。性能影响(IPS)：串行部署的IPS可能引入延迟，需评估其对存储性能（尤其是高吞吐、低延迟场景如FC）的影响，选择高性能设备或优化策略。加密流量：越来越多的存储管理/数据访问使用加密（HTTPS,SSH,存储级加密）。需要解决方案（如SSL/TLS解密代理配合IDS/IPS，或基于主机的监控）来处理加密流量中的威胁。日志与集成：将IDS/IPS告警集成到SIEM/SOC平台，实现集中监控和事件关联分析。部署IDS/IPS保护存储的关键考量

IDS/IPS的部署与运维数据存储安全技术02IDS/IPS最佳实践的实例场景：某银行核心数据库